JP2018132823A - Policy setting device, policy setting method and policy setting program - Google Patents
Policy setting device, policy setting method and policy setting program Download PDFInfo
- Publication number
- JP2018132823A JP2018132823A JP2017024173A JP2017024173A JP2018132823A JP 2018132823 A JP2018132823 A JP 2018132823A JP 2017024173 A JP2017024173 A JP 2017024173A JP 2017024173 A JP2017024173 A JP 2017024173A JP 2018132823 A JP2018132823 A JP 2018132823A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- policy
- sample
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明はポリシー設定装置、ポリシー設定方法およびポリシー設定プログラムに関する。 The present invention relates to a policy setting device, a policy setting method, and a policy setting program.
特定の組織が有する秘密情報を窃取することを目的とした情報セキュリティ上の攻撃(標的型攻撃)の1つとして、電子メールを利用した標的型メール攻撃が存在する。標的型メール攻撃では、攻撃者は標的の組織に対して、通常の業務に関する電子メールを装った不正な電子メールを送信する。不正な電子メールには、業務に関するファイルを装って、コンピュータウィルスを含む不正なファイルが添付されていることがある。また、不正な電子メールには、業務に関するWebサイトを装って、コンピュータウィルスを送信する不正なWebサイトへのハイパーリンクが記載されていることがある。 As one of information security attacks (targeted attacks) aimed at stealing secret information possessed by a specific organization, there is a targeted email attack using electronic mail. In the targeted email attack, the attacker sends an unauthorized email pretending to be an email related to normal business to the target organization. An illegal e-mail may be attached with an illegal file including a computer virus, pretending to be a file related to business. An unauthorized e-mail may include a hyperlink to an unauthorized website that transmits a computer virus while pretending to be a business website.
不正な電子メールを受け取ったユーザが添付ファイルを開くと、組織内のコンピュータがコンピュータウィルスに感染するおそれがある。また、不正な電子メールを受け取ったユーザがハイパーリンクを辿ってWebサイトにアクセスすると、組織内のコンピュータがコンピュータウィルスに感染するおそれがある。コンピュータウィルスに感染することで、組織内の秘密情報が組織外に漏洩してしまうことがある。 When a user who receives an unauthorized e-mail opens an attachment, a computer in the organization may be infected with a computer virus. In addition, when a user who receives an unauthorized e-mail follows a hyperlink and accesses a Web site, a computer in the organization may be infected with a computer virus. Infecting a computer virus may cause confidential information inside the organization to leak outside the organization.
このような標的型メール攻撃の脅威を低減するため、各種の情報セキュリティ製品が使用されることがある。例えば、ある種の情報セキュリティ製品は、組織外から受信する電子メールを監視し、特定の送信元メールアドレスや特定の送信元メールサーバアドレスを含む電子メールを不正な電子メールと判定する。情報セキュリティ製品は、不正な電子メールに対しては閲覧や添付ファイルの開封などのユーザ操作を制限する。また、例えば、ある種の情報セキュリティ製品は、組織外のWebサーバへのアクセスを監視し、特定のWebサイトアドレスを指定したアクセスを制限する。 Various information security products may be used to reduce the threat of such targeted email attacks. For example, some information security products monitor e-mails received from outside the organization, and determine e-mails including specific source mail addresses and specific source mail server addresses as fraudulent e-mails. Information security products restrict user operations such as browsing and opening attached files for unauthorized e-mails. Also, for example, certain information security products monitor access to a Web server outside the organization, and restrict access by specifying a specific Web site address.
なお、受信した情報のうちユーザにとって有害な情報を除去して出力する情報フィルタリング装置が提案されている。提案の情報フィルタリング装置は、ユーザの行動を示す行動情報を収集し、受信した情報の重要性を行動情報に基づいて判定する。情報フィルタリング装置は、有害でありかつ重要性が低いと判定した情報を除去する。 An information filtering apparatus that removes and outputs information that is harmful to the user from received information has been proposed. The proposed information filtering apparatus collects behavior information indicating the user's behavior and determines the importance of the received information based on the behavior information. The information filtering apparatus removes information determined to be harmful and less important.
攻撃者が使用するアドレスは変化する可能性がある一方で、短期的には同様のアドレスを用いた標的型メール攻撃が繰り返し行われることが多い。そこで、組織内のユーザが標的型メール攻撃と疑われる電子メールを受け取った場合に、当該電子メールを検体メールとしてユーザからシステム管理部門に提供し、組織全体の情報セキュリティの向上に役立てる方法が考えられる。システム管理部門は、提供された検体メールに含まれる組織外のアドレスを要注意のアドレスと判断し、要注意のアドレスやそれに類似するアドレスを用いた通信を制限するセキュリティポリシーを生成することが考えられる。生成されたセキュリティポリシーは、各種の情報セキュリティ製品に対して動的に組み込まれる。 While the addresses used by attackers may change, targeted email attacks using similar addresses are often repeated in the short term. Therefore, when a user in the organization receives an e-mail suspected of being a targeted e-mail attack, a method can be considered in which the e-mail is provided as a sample e-mail from the user to the system management department to improve the information security of the entire organization. It is done. The system management department considers the address outside the organization included in the provided sample email as a cautionary address, and generates a security policy that restricts communication using a cautionary address or a similar address. It is done. The generated security policy is dynamically incorporated into various information security products.
しかし、ユーザから提供される検体メールの中には、ユーザが誤って標的型メール攻撃であると判断した正当な電子メールが含まれている可能性がある。また、あるアドレスが攻撃者の使用するアドレスであっても、それに類似するアドレスは業務に使用される正当なアドレスである場合もある。よって、ユーザから提供された検体メールに基づいて生成したセキュリティポリシーを単純に適用してしまうと、正当な通信も制限してしまう過剰防衛が発生し、組織の通常の業務が阻害されてしまうおそれがある。 However, the sample mail provided by the user may include a legitimate electronic mail that the user has erroneously determined to be a target mail attack. Further, even if an address is an address used by an attacker, an address similar to the address may be a legitimate address used for business. Therefore, if the security policy generated based on the sample email provided by the user is simply applied, excessive defense that restricts legitimate communication may occur, and the normal business of the organization may be hindered. There is.
1つの側面では、本発明は、セキュリティポリシーの追加による業務への影響を低減できるポリシー設定装置、ポリシー設定方法およびポリシー設定プログラムを提供することを目的とする。 In one aspect, an object of the present invention is to provide a policy setting device, a policy setting method, and a policy setting program that can reduce the influence on business due to the addition of a security policy.
1つの態様では、記憶部と処理部とを有するポリシー設定装置が提供される。記憶部は、ユーザ宛ての電子メールのうちの1以上の検体電子メールと、過去に行われたユーザまたは他のユーザの通信を示す通信履歴とを記憶する。処理部は、検体電子メールの中から通信を制限する対象とする通信相手アドレスを抽出する。処理部は、通信履歴を参照して通信相手アドレスを用いた通信の頻度を示す頻度指標値を算出する。処理部は、通信相手アドレスを用いた通信を制限するルールを含み、頻度指標値が示す頻度が大きいほど有効期間が短くなるかまたは適用対象機器が少なくなるように設定したセキュリティポリシーを生成する。 In one aspect, a policy setting device having a storage unit and a processing unit is provided. The storage unit stores one or more sample e-mails out of e-mails addressed to the user, and a communication history indicating communication of the user or other users performed in the past. The processing unit extracts a communication partner address targeted for communication restriction from the sample e-mail. The processing unit calculates a frequency index value indicating the frequency of communication using the communication partner address with reference to the communication history. The processing unit includes a rule that restricts communication using the communication partner address, and generates a security policy that is set such that the effective period is shortened or the application target device is decreased as the frequency indicated by the frequency index value increases.
また、1つの態様では、コンピュータが実行するポリシー設定方法が提供される。また、1つの態様では、コンピュータに実行させるポリシー設定プログラムが提供される。 In one aspect, a policy setting method executed by a computer is provided. In one aspect, a policy setting program to be executed by a computer is provided.
1つの側面では、セキュリティポリシーの追加による業務への影響を低減できる。 In one aspect, the impact on business due to the addition of a security policy can be reduced.
以下、本実施の形態を図面を参照して説明する。
[第1の実施の形態]
第1の実施の形態を説明する。
Hereinafter, the present embodiment will be described with reference to the drawings.
[First Embodiment]
A first embodiment will be described.
図1は、第1の実施の形態のポリシー設定装置の例を示す図である。
第1の実施の形態のポリシー設定装置10は、標的型メール攻撃から情報処理システムを保護するために用いられるコンピュータである。ポリシー設定装置10は、クライアントコンピュータでもよいしサーバコンピュータでもよい。ポリシー設定装置10は、セキュリティ製品に適用するセキュリティポリシーを動的に生成する。セキュリティポリシーは、特定の通信相手アドレスを用いた通信を制限することを示す場合がある。
FIG. 1 is a diagram illustrating an example of a policy setting device according to the first embodiment.
The
ポリシー設定装置10は、記憶部11および処理部12を有する。記憶部11は、RAM(Random Access Memory)などの揮発性の記憶装置、または、HDD(Hard Disk Drive)やフラッシュメモリなどの不揮発性の記憶装置である。処理部12は、例えば、CPU(Central Processing Unit)やDSP(Digital Signal Processor)などのプロセッサである。ただし、処理部12は、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)などの特定用途の電子回路を含んでもよい。プロセッサは、RAMなどのメモリに記憶されたプログラムを実行する。例えば、プロセッサはポリシー設定プログラムを実行する。なお、複数のプロセッサの集合を「マルチプロセッサ」または単に「プロセッサ」と言うことがある。
The
記憶部11は、検体電子メール13および通信履歴14を記憶する。また、記憶部11は、後述するように処理部12が生成したセキュリティポリシー15を記憶する。
検体電子メール13は、ユーザが属する組織の外部から受信された当該ユーザ宛ての電子メールである。検体電子メールが2つ以上あってもよい。検体電子メール13は、例えば、その宛先のユーザから検体として提供される。例えば、検体電子メール13は、ユーザが使用する端末装置によって受信され、ユーザによって標的型メール攻撃であると判断された電子メールである。ただし、検体電子メール13は、誤って標的型メール攻撃であると判断された正当な電子メールである可能性がある。
The
The
通信履歴14は、過去に行われた通信の履歴である。通信履歴14は、検体電子メール13を提供したユーザの端末装置によって行われた通信の履歴を含んでもよい。また、通信履歴14は、検体電子メール13を提供したユーザと同じ組織に属する他のユーザの端末装置によって行われた通信の履歴を含んでもよい。通信履歴14は、例えば、電子メールの受信履歴、電子メールの送信履歴、Webサイトのアクセス履歴などを含む。
The
電子メールの受信履歴には、例えば、送信元メールアドレス、送信元メールアドレスの一部分(ドメイン名など)、送信元メールサーバアドレス、または、送信元メールサーバアドレスの一部分(ドメイン名など)が含まれる。電子メールの送信履歴には、例えば、宛先メールアドレスまたはその一部分(ドメイン名など)が含まれる。Webサイトのアクセス履歴には、例えば、アクセス先のWebサイトアドレス(URL(Uniform Resource Locator)など)またはその一部分(ドメイン名など)が含まれる。 The e-mail reception history includes, for example, a sender mail address, a part of the sender mail address (such as a domain name), a sender mail server address, or a part of the sender mail server address (such as a domain name). . The e-mail transmission history includes, for example, a destination e-mail address or a part thereof (such as a domain name). The access history of the Web site includes, for example, an access destination Web site address (URL (Uniform Resource Locator) or the like) or a part thereof (domain name or the like).
セキュリティポリシー15は、電子メールの送受信やWebサイトへのアクセスなどの通信を制限することが可能な電子機器に対して適用する設定情報である。ポリシー設定装置10は、生成したセキュリティポリシー15を組織内の適切な電子機器に配信する。例えば、セキュリティポリシー15は、特定のアドレスを送信元アドレスに含む電子メールの閲覧や添付ファイルの開封を禁止することを示す場合がある。そのようなセキュリティポリシー15は、ユーザが使用する端末装置やメールサーバに配信されることがある。また、例えば、セキュリティポリシー15は、特定のアドレスをURLに含むWebサイトへのアクセスを禁止することを示す場合がある。そのようなセキュリティポリシー15は、ユーザが使用する端末装置やプロキシサーバに配信されることがある。
The
セキュリティポリシー15には、有効期間15bや適用対象機器15cが設定されることがある。有効期間15bは、セキュリティポリシー15が有効な期間であり、その範囲外ではセキュリティポリシー15が無効になる。有効期間15bは、開始時刻、終了時刻、有効日数などによって特定され得る。セキュリティポリシー15に有効期間15bの情報が含まれてもよい。適用対象機器15cは、セキュリティポリシー15が適用される電子機器であり、それ以外の電子機器にはセキュリティポリシー15が適用されない。適用対象機器15cは、組織の部署名、ユーザ名、電子機器の種類などによって特定され得る。セキュリティポリシー15に適用対象機器15cの情報が含まれてもよい。
In the
処理部12は、検体電子メール13の中から、通信を制限する対象とする通信相手アドレス13aを抽出する。通信相手アドレス13aは、ユーザが属する組織の外部で使用されるアドレスであり、検体電子メール13の宛先メールアドレス以外の箇所に記載されている。例えば、通信相手アドレス13aは、ヘッダに記載された送信元メールアドレス、送信元メールアドレスの一部分(ドメイン名など)、送信元メールサーバアドレス、または、送信元メールサーバアドレスの一部分(ドメイン名など)である。また、例えば、通信相手アドレス13aは、本文にリンク先として記載されたWebサイトアドレス(URLなど)またはその一部分(ドメイン名など)である。
The
処理部12は、通信履歴14を参照して、通信相手アドレス13aを用いた通信の頻度を示す頻度指標値を算出する。例えば、処理部12は、通信相手アドレス13aを宛先メールアドレスに含む電子メールの送信頻度(一定期間内の送信回数など)から頻度指標値を算出する。また、例えば、処理部12は、通信相手アドレス13aを送信元メールアドレスまたは送信元メールサーバアドレスに含む電子メールの受信頻度(一定期間内の受信回数など)から頻度指標値を算出する。また、例えば、処理部12は、通信相手アドレス13aをWebサイトアドレスに含むWebサイトへのアクセス頻度(一定期間内のアクセス回数など)から頻度指標値を算出する。この頻度指標値は、通信相手アドレス13aを用いた通信を制限した場合の業務への影響度を表していると言うことができる。
The
処理部12は、通信相手アドレス13aを用いた通信を制限することを示すルール15aを含むセキュリティポリシー15を生成する。このとき、処理部12は、上記の頻度指標値に基づいて、有効期間15bおよび適用対象機器15cの少なくとも一方をセキュリティポリシー15に対して設定する。有効期間15bについては、処理部12は、頻度指標値が示す頻度が大きいほど(影響度が大きいほど)有効期間15bが短くなるように設定し、頻度指標値が示す頻度が小さいほど(影響度が小さいほど)有効期間15bが長くなるように設定する。適用対象機器15cについては、処理部12は、頻度指標値が示す頻度が大きいほど適用対象機器15cが少なくなるように設定し、頻度指標値が示す頻度が小さいほど適用対象機器15cが多くなるように設定する。適用対象機器15cを少なくすることは、例えば、セキュリティポリシー15を適用する部署、ユーザ、電子機器の種類などを限定することによって実現される。
The
第1の実施の形態のポリシー設定装置10によれば、ユーザから提供された検体電子メール13に含まれる通信相手アドレス13aを制限対象アドレスとする場合に、通信相手アドレス13aを用いた過去の通信頻度が算出される。そして、過去の通信頻度が大きいほど有効期間15bが短くなるよう設定されるか、または、過去の通信頻度が大きいほど適用対象機器15cが少なくなるよう設定される。これにより、通信相手アドレス13aを用いた通信を制限することを示すセキュリティポリシー15を追加することによる過剰防衛を抑制し、正当な業務が阻害されるという影響を低減できる。
According to the
例えば、検体電子メール13が誤って標的型メール攻撃であると判断された正当な電子メールである場合、検体電子メール13と同一または類似する他の検体電子メールが後に提供される可能性は低い。そのため、有効期間15bを限定すれば、有効期間15bが更新されずにセキュリティポリシー15が早期に無効になると期待される。一方、検体電子メール13が標的型メール攻撃を目的とするものである場合、検体電子メール13と同一または類似する他の検体電子メールが後に提供される可能性が高い。そのため、有効期間15bが延長されてセキュリティポリシー15が継続して適用されると期待される。
For example, when the
また、例えば、適用対象機器15cを限定することで、業務への影響が相対的に大きい特定の部署についてはセキュリティポリシー15の適用を保留しつつ、別の部署でセキュリティポリシー15を試用することが可能となる。このような特定の部署には、検体電子メール13と同一または類似する他の検体電子メールが後に提供されてからセキュリティポリシー15を適用することが考えられる。すなわち、検体電子メール13が誤って標的型メール攻撃であると判断された正当な電子メールである場合には、業務への影響が相対的に大きい特定の部署にはセキュリティポリシー15が適用されないと期待される。
Further, for example, by limiting the
[第2の実施の形態]
次に、第2の実施の形態を説明する。
図2は、第2の実施の形態の情報処理システムの例を示す図である。
[Second Embodiment]
Next, a second embodiment will be described.
FIG. 2 is a diagram illustrating an example of an information processing system according to the second embodiment.
第2の実施の形態の情報処理システムは、管理サーバ100、ユーザ端末200,200a,200bおよび管理者端末200cを有する。管理サーバ100、ユーザ端末200,200a,200bおよび管理者端末200cは、同一の組織内で使用される装置である。管理サーバ100、ユーザ端末200,200a,200bおよび管理者端末200cは、ローカルネットワークであるネットワーク30に接続されている。
The information processing system according to the second embodiment includes a
管理サーバ100は、ユーザ端末200,200a,200bのセキュリティ対策を支援するサーバコンピュータである。管理サーバ100は、電子メールを利用して組織の秘密情報を不正に取得する標的型メール攻撃からユーザ端末200,200a,200bを保護する。管理サーバ100は、ユーザ端末200,200a,200bから、標的型メール攻撃であると疑われる電子メール(不審メール)を検体メールとして収集する。
The
管理サーバ100は、管理者端末200cからの指示に応じて、収集した検体メールを用いてセキュリティポリシー(単に「ポリシー」と言うことがある)を生成する。ポリシーには、受信した電子メールが標的型メール攻撃に関する危険な電子メールであるか判断するためのルールが含まれる。また、ポリシーには、アクセス先のWebサイトが標的型メール攻撃に関する危険なWebサイトであるか判断するためのルールが含まれる。管理サーバ100は、ポリシーをユーザ端末200,200a,200bに配信する。
In response to an instruction from the
ユーザ端末200,200a,200bは、組織に属するユーザが使用するクライアントコンピュータである。ユーザ端末200,200a,200bは、ユーザの操作に応じて、組織の外部から送信された電子メールを受信することがある。このとき、ユーザ端末200,200a,200bは、管理サーバ100から配信されたポリシーに基づいて、受信した電子メールが危険な電子メールであるか判断して危険な電子メールの閲覧を制限する。また、ユーザ端末200,200a,200bは、受信した電子メールが標的型メール攻撃を目的とした電子メールであるとユーザが判断したとき、ユーザの操作に応じて、受信した電子メールを検体メールとして管理サーバ100に提供する。
The
また、ユーザ端末200,200a,200bは、ユーザの操作に応じて、組織の外部のWebサイトにアクセスすることがある。このとき、ユーザ端末200,200a,200bは、管理サーバ100から配信されたポリシーに基づいて、アクセス先のWebサイトが危険なWebサイトであるか判断して危険なWebサイトへのアクセスを制限する。危険なWebサイトのアクセスは、標的型メール攻撃を目的とした電子メールの中に記載されているハイパーリンクをユーザが選択することで発生することがある。
In addition, the
管理者端末200cは、組織の情報処理システムを管理する管理者が使用するクライアントコンピュータである。管理者端末200cは、管理者の操作に応じて管理サーバ100にアクセスし、ポリシーの生成やユーザ端末200,200a,200bへのポリシーの配信を管理サーバ100に指示する。収集された検体メールからポリシーを生成する過程で管理者の判断(例えば、不審メールの絞り込みなど)を要する場合、管理者は管理者端末200cを通じて管理サーバ100に適宜指示を送る。
The
図3は、管理サーバのハードウェア例を示すブロック図である。
管理サーバ100は、CPU101、RAM102、HDD103、画像信号処理部104、入力信号処理部105、媒体リーダ106および通信インタフェース107を有する。上記ユニットはバスに接続される。ユーザ端末200,200a,200bおよび管理者端末200cも、管理サーバ100と同様のハードウェアを用いて実装できる。
FIG. 3 is a block diagram illustrating a hardware example of the management server.
The
CPU101は、プログラムの命令を実行する演算回路を含むプロセッサである。CPU101は、HDD103に記憶されたプログラムやデータの少なくとも一部をRAM102にロードし、プログラムを実行する。なお、CPU101は複数のプロセッサコアを備えてもよく、管理サーバ100は複数のプロセッサを備えてもよく、以下の処理を複数のプロセッサまたはプロセッサコアを用いて並列に実行してもよい。また、複数のプロセッサの集合を「マルチプロセッサ」または単に「プロセッサ」と言うことがある。
The
RAM102は、CPU101が実行するプログラムやCPU101が演算に用いるデータを一時的に記憶する揮発性の半導体メモリである。なお、管理サーバ100は、RAM以外の種類のメモリを備えてもよく、複数個のメモリを備えてもよい。
The
HDD103は、OS(Operating System)やミドルウェアやアプリケーションソフトウェアなどのソフトウェアのプログラム、および、データを記憶する不揮発性の記憶装置である。プログラムにはポリシー設定プログラムが含まれる。なお、管理サーバ100は、フラッシュメモリやSSD(Solid State Drive)などの他の種類の記憶装置を備えてもよく、複数の不揮発性の記憶装置を備えてもよい。
The
画像信号処理部104は、CPU101からの命令に従って、管理サーバ100に接続されたディスプレイ41に画像を出力する。ディスプレイ41としては、CRT(Cathode Ray Tube)ディスプレイ、液晶ディスプレイ(LCD:Liquid Crystal Display)、プラズマディスプレイ、有機EL(OEL:Organic Electro-Luminescence)ディスプレイなど、任意の種類のディスプレイを用いることができる。
The image
入力信号処理部105は、管理サーバ100に接続された入力デバイス42から入力信号を取得し、CPU101に出力する。入力デバイス42としては、マウスやタッチパネルやタッチパッドやトラックボールなどのポインティングデバイス、キーボード、リモートコントローラ、ボタンスイッチなどを用いることができる。また、管理サーバ100に複数の種類の入力デバイスが接続されていてもよい。
The input
媒体リーダ106は、記録媒体43に記録されたプログラムやデータを読み取る読み取り装置である。記録媒体43として、例えば、磁気ディスク、光ディスク、光磁気ディスク(MO:Magneto-Optical disk)、半導体メモリなどを使用できる。磁気ディスクには、フレキシブルディスク(FD:Flexible Disk)やHDDが含まれる。光ディスクには、CD(Compact Disc)やDVD(Digital Versatile Disc)が含まれる。
The
媒体リーダ106は、例えば、記録媒体43から読み取ったプログラムやデータを、RAM102やHDD103などの他の記録媒体にコピーする。読み取られたプログラムは、例えば、CPU101によって実行される。なお、記録媒体43は可搬型記録媒体であってもよく、プログラムやデータの配布に用いられることがある。また、記録媒体43やHDD103を、コンピュータ読み取り可能な記録媒体と言うことがある。
For example, the
通信インタフェース107は、ネットワーク30に接続され、ネットワーク30を介して他のノードと通信を行うインタフェースである。通信インタフェース107は、例えば、スイッチなどの通信装置とケーブルで接続される有線通信インタフェースである。ただし、基地局と無線リンクで接続される無線通信インタフェースでもよい。
The
図4は、ユーザ端末および管理サーバの機能例を示すブロック図である。
ユーザ端末200は、ポリシー記憶部211、行動ログ記憶部212、メーラー221、Webブラウザ222、メールチェッカー223、Webアクセスチェッカー224および共有情報提供部225を有する。ポリシー記憶部211および行動ログ記憶部212は、例えば、RAMまたはHDDに確保した記憶領域を用いて実装される。メーラー221、Webブラウザ222、メールチェッカー223、Webアクセスチェッカー224および共有情報提供部225は、例えば、プログラムを用いて実装される。ユーザ端末200a,200bも、ユーザ端末200と同様のブロック構成を有する。
FIG. 4 is a block diagram illustrating exemplary functions of the user terminal and the management server.
The
ポリシー記憶部211は、管理サーバ100から受信したポリシーデータを記憶する。ポリシー記憶部211が記憶するポリシーデータには、組織外から受信した電子メールをフィルタリングするためのポリシーデータと、組織外のWebサイトへのアクセスをフィルタリングするためのポリシーデータとが含まれる。前者のポリシーデータには、不正な電子メールの特徴を示すルールが記載されている。後者のポリシーデータには、不正なWebサイトのWebサイトアドレスの特徴を示すルールが記載されている。
The
行動ログ記憶部212は、ユーザ端末200が行った通信の履歴を示す行動ログを記憶する。行動ログ記憶部212が記憶する行動ログには、電子メールの送信履歴を示す送信ログと、電子メールの受信履歴を示す受信ログが含まれる。また、行動ログには、Webサイトのアクセス履歴を示すWebログが含まれる。
The action
メーラー221は、ユーザの操作に応じて電子メールの送信、電子メールの受信、受信した電子メールの保存や表示などのメール処理を行うアプリケーションソフトウェアである。メーラー221は、組織内または組織外のメールサーバに対して電子メールを送信する。また、メーラー221は、組織内または組織外のメールサーバにアクセスし、当該メールサーバに保存されている自ユーザ宛ての電子メールを受信する。
The
Webブラウザ222は、ユーザの操作に応じてWebページを表示するアプリケーションソフトウェアである。Webブラウザ222は、組織外のWebサーバに対してULRなどのWebサイトアドレスを指定したリクエストを送信し、HTML(HyperText Markup Language)文書などのデータをWebサーバから受信する。Webブラウザ222は、受信したデータに基づいてWebページを描画して表示する。
The
メールチェッカー223は、メーラー221が電子メールを受信したとき、ポリシー記憶部211に記憶されているポリシーデータに基づいて、受信した電子メールが標的型メール攻撃を目的とする不正な電子メールであるか判定する。不正な電子メールであると判定した場合、メールチェッカー223は、ポリシーデータが指定する方法によって当該電子メールの閲覧を制限する。例えば、メールチェッカー223は、受信された電子メールが不正な電子メールである可能性がある旨の警告メッセージを表示する。また、例えば、メールチェッカー223は、当該電子メールを通常の受信フォルダではなく迷惑メール用の受信フォルダに隔離し、当該電子メールの閲覧を禁止する。また、例えば、メールチェッカー223は、当該電子メールの添付ファイルの開封を禁止する。
When the
また、メールチェッカー223は、ある電子メールを標的型メール攻撃であるとユーザが判断したとき、当該ユーザから通報の指示を受け付けることがある。通報する電子メールは、メールチェッカー223が標的型メール攻撃の可能性があると判定した電子メールであることもあるし、そのように判定しなかった電子メールであることもある。メールチェッカー223は、指定された電子メールを共有情報提供部225に提供する。ここで、メールチェッカー223は、電子メールとポリシーデータに含まれるルールとを照合するとき、ルールの適合度を示すチェッカー精度を算出する。メールチェッカー223は、通報する電子メールと合わせてチェッカー精度を共有情報提供部225に提供する。
Further, when the user determines that a certain electronic mail is a target mail attack, the
また、メールチェッカー223は、メーラー221による電子メールの送信を監視し、電子メールの送信履歴を示す送信ログを行動ログ記憶部212に保存する。また、メールチェッカー223は、メーラー221による電子メールの受信を監視し、電子メールの受信履歴を示す受信ログを行動ログ記憶部212に保存する。
Further, the
Webアクセスチェッカー224は、Webブラウザ222が組織外のWebサイトにアクセスしようとしたとき、ポリシー記憶部211に記憶されているポリシーデータに基づいて、アクセス先が不正なWebサイトであるか判定する。不正なWebサイトであると判定した場合、Webアクセスチェッカー224は、ポリシーデータが指定する方法によって当該Webサイトへのアクセスを制限する。例えば、Webアクセスチェッカー224は、アクセス先のWebサイトが不正である旨の警告メッセージを表示する。また、例えば、Webアクセスチェッカー224は、Webブラウザ222が生成したリクエストを破棄することで当該Webサイトへのアクセスを禁止する。また、Webアクセスチェッカー224は、Webブラウザ222によるWebサイトへのアクセスを監視し、Webサイトのアクセス履歴を示すWebログを行動ログ記憶部212に保存する。
When the
共有情報提供部225は、ユーザ端末200が有する情報のうち組織内で共有することが好ましい情報を管理サーバ100に送信する。共有情報提供部225は、メールチェッカー223から取得した電子メール、すなわち、ユーザが標的型メール攻撃であると判断し通報するよう指示した電子メールを、検体メールとして管理サーバ100に提供する。このとき、共有情報提供部225は、検体メールと共にそのチェッカー精度も通知する。また、共有情報提供部225は、行動ログ記憶部212に蓄積された行動ログを管理サーバ100に提供する。蓄積された行動ログは、定期的に管理サーバ100に送信してもよいし、検体メールと合わせて管理サーバ100に送信してもよい。
The shared
管理サーバ100は、行動ログ記憶部111、通報履歴記憶部112、設定情報記憶部113、共有情報収集部121、不審メール抽出部122、ポリシー生成部123およびポリシー配信部124を有する。行動ログ記憶部111、通報履歴記憶部112および設定情報記憶部113は、例えば、RAM102またはHDD103に確保した記憶領域を用いて実装される。共有情報収集部121、不審メール抽出部122、ポリシー生成部123およびポリシー配信部124は、例えば、プログラムを用いて実装される。
The
行動ログ記憶部111は、ユーザ端末200,200a,200bから収集した行動ログを記憶する。行動ログ記憶部111が記憶する行動ログには、電子メールの送信履歴を示す送信ログと、電子メールの受信履歴を示す受信ログが含まれる。また、行動ログには、Webサイトのアクセス履歴を示すWebログが含まれる。
The action
通報履歴記憶部112は、ユーザ端末200,200a,200bのユーザが過去に標的型メール攻撃を通報した履歴を記憶する。通報履歴記憶部112に記憶される通報履歴には、ユーザ毎に当該ユーザが提供した検体メールの数が含まれる。また、通報履歴には、ユーザ毎に当該ユーザが提供した検体メールのうち、実際に標的型メール攻撃である可能性が高くポリシーデータ生成に利用された不審メールの数が含まれる。提供された検体メールの中から不審メールを抽出することは、不審メール抽出部122で行われる。
The report
設定情報記憶部113は、不審メールからポリシーデータを生成するときに参照される設定情報を記憶する。設定情報には、受信した電子メールの閲覧を制限する方法、Webサイトへのアクセスを制限する方法、ポリシーデータの有効期間、ポリシーデータの配信を開始する条件、ポリシーデータの配信先を選択する方法などを決める手順を示す情報が含まれる。また、設定情報には、上記を決定するために使用される指標値を算出する方法や、指標値の算出に用いられるパラメータを示す情報が含まれる。これらの設定情報は、例えば、管理者によって作成されて予め設定情報記憶部113に格納される。
The setting
共有情報収集部121は、ユーザ端末200,200a,200bから行動ログを受信し、受信した行動ログを行動ログ記憶部111に格納する。また、共有情報収集部121は、ユーザ端末200,200a,200bから検体メールを受信する。
The shared
不審メール抽出部122は、共有情報収集部121が収集した検体メールの中から、ポリシーデータの生成に利用する不審メールを抽出する。このとき、不審メール抽出部122は、同一または類似の不審メールを不審メール群としてまとめて抽出するようにする。不審メールは、例えば、管理者によって検体メールの中から選択される。管理者は、収集された検体メールそれぞれを確認して標的型メール攻撃である可能性が高いか判断する。また、管理者は、標的型メール攻撃である可能性が高いと判断した検体メール相互の類似性から、検体メールのグループを判断する。不審メール抽出部122は、管理者が操作する管理者端末200cからの指示に応じて不審メール群を抽出する。
The suspicious
また、不審メール抽出部122は、共有情報収集部121が収集した検体メールについての通報履歴を通報履歴記憶部112に格納する。不審メール抽出部122は、検体メール毎に当該検体メールを提供したユーザの通報メール数を1つ加算する。また、不審メール抽出部122は、不審メールとして抽出した検体メール毎に当該検体メールを提供したユーザの不審メール数を1つ加算する。
Further, the suspicious
ポリシー生成部123は、設定情報記憶部113に記憶された設定情報を参照して、不審メール抽出部122が抽出した不審メールからポリシーデータを生成すると共に、生成したポリシーデータの配信先を決定する。このとき、ポリシー生成部123は、不審メールに記載された組織外のドメインを制限対象ドメインとして抽出し、制限対象ドメインとの通信を制限することを示すポリシーデータを生成することがある。
The
その場合、ポリシー生成部123は、制限対象ドメインについて、通信を制限することによる業務への影響を示す影響度と、制限対象ドメインが標的型メール攻撃に関するドメインであることの信頼性を示す確度とを算出する。ポリシー生成部123は、行動ログ記憶部111に記憶された行動ログに基づいて影響度を算出する。また、ポリシー生成部123は、不審メールとして抽出した検体メールと合わせて提供されたチェッカー精度および通報履歴記憶部112に記憶された通報履歴に基づいて、確度を算出する。ポリシー生成部123は、算出した影響度と確度の組み合わせに基づいて、ポリシーデータの有効期間の長さやポリシーデータの配信先の広さを自動的に調整する。
In that case, the
ポリシー配信部124は、ポリシー生成部123が生成したポリシーデータを、ポリシー生成部123が決定した配信先のユーザ端末に対して送信する。ポリシーデータの配信先は、組織内で使用されている全てのユーザ端末になることもあるし、特定の部署で使用されているユーザ端末に限定されることもあるし、特定のユーザが使用するユーザ端末に限定されることもある。ユーザ端末200が配信先に含まれている場合、ポリシーデータがユーザ端末200に送信されてポリシー記憶部211に格納される。
The
図5は、ログテーブルの例を示す図である。
行動ログ記憶部111は、Webログテーブル114を記憶する。Webログテーブル114は、ユーザ端末200,200a,200bから組織外のWebサイトへのアクセスの履歴を示す。Webログテーブル114は、時刻、宛先ドメイン、閲覧時間、閲覧ページ数およびアクセス後行動の項目を有する。
FIG. 5 is a diagram illustrating an example of a log table.
The action
時刻の項目には、Webサイトへのアクセスを開始した時刻、すなわち、ある宛先ドメインを指定した最初のリクエストを送信した時刻が登録される。宛先ドメインの項目には、アクセス先のWebサイトのWebサイトアドレスに含まれるドメインが登録される。宛先ドメインは、URLに含まれるドメイン名でもよいし、Webサイトに対応するWebサーバのIP(Internet Protocol)アドレスでもよい。 Registered in the time field is the time when access to the Web site is started, that is, the time when the first request specifying a certain destination domain is transmitted. In the destination domain item, a domain included in the Web site address of the Web site to be accessed is registered. The destination domain may be a domain name included in the URL or an IP (Internet Protocol) address of a Web server corresponding to the Web site.
閲覧時間の項目には、Webブラウザ222が当該WebサイトのWebページを表示していた時間(秒数)が登録される。同じ宛先ドメインに属する複数のWebページが連続して表示された場合には、それら複数のWebページの表示時間が合計される。閲覧ページ数の項目には、Webブラウザ222が連続して表示した当該WebサイトのWebページの数が登録される。宛先ドメインが同じである限り、表示されるWebページが切り替わる毎に閲覧ページ数が1ずつ増加する。
In the browsing time item, the time (seconds) during which the
アクセス後行動の項目には、Webブラウザ222が最初のリクエストを送信した後にユーザが行った行動の種類が登録される。アクセス後行動の種類には、「キャンセル」、「参照」、「リンク」および「ダウンロード」が含まれる。キャンセルは、最初のリクエストを送信した後すぐに(所定秒数以下で)Webページの表示を取りやめたことを表す。キャンセルは、アクセス先のWebサイトをすぐに変更した場合や、Webブラウザ222をすぐに閉じた場合に発生する。参照は、当該宛先ドメインについて1つのWebページのみを所定秒数より長く表示したことを表す。リンクは、ハイパーリンクを辿ることで宛先ドメインに属する複数のWebページを表示したことを表す。ダウンロードは、表示用データ以外のファイルをダウンロードしたことを表す。
In the post-access action item, the type of action performed by the user after the
また、行動ログ記憶部111は、送信ログテーブル115を記憶する。送信ログテーブル115は、ユーザ端末200,200a,200bから組織の外部への電子メールの送信の履歴を示す。送信ログテーブル115は、時刻および宛先ドメインの項目を有する。時刻の項目には、電子メールを送信した時刻が登録される。宛先ドメインの項目には、宛先メールアドレスに含まれるドメインが登録される。
In addition, the action
また、行動ログ記憶部111は、受信ログテーブル116を記憶する。受信ログテーブル116は、ユーザ端末200,200a,200bによる組織の外部からの電子メールの受信の履歴を示す。受信ログテーブル116は、時刻、送信元ドメインおよびテキストの項目を有する。時刻の項目には、電子メールを受信した時刻が登録される。送信元ドメインの項目には、送信元アドレスに含まれるドメインが登録される。送信元アドレスは、送信元メールアドレスでもよいし送信に使用されたメールサーバのアドレスでもよい。メールサーバのドメインとしてはメールサーバのIPアドレスを用いてもよい。テキストの項目には、電子メールの本文に記載されているテキストが登録される。電子メールの本文からは、電子メールのヘッダおよび添付ファイルを除いてよい。
The action
なお、Webログテーブル114は直近の所定期間(例えば、直近1ヶ月間)のアクセス履歴を保持すればよく、それより古いアクセス履歴はWebログテーブル114から削除してもよい。同様に、送信ログテーブル115は直近所定期間の送信履歴を保持すればよく、それより古い送信履歴は送信ログテーブル115から削除してもよい。また、受信ログテーブル116は直近所定期間の受信履歴を保持すればよく、それより古い受信履歴は受信ログテーブル116から削除してもよい。 Note that the web log table 114 only needs to hold an access history for the most recent predetermined period (for example, the most recent month), and older access histories may be deleted from the web log table 114. Similarly, the transmission log table 115 may hold a transmission history for the most recent predetermined period, and an older transmission history may be deleted from the transmission log table 115. The reception log table 116 only needs to hold the reception history for the most recent predetermined period, and the reception history older than that may be deleted from the reception log table 116.
図6は、通報履歴テーブルの例を示す図である。
通報履歴記憶部112は、通報履歴テーブル117を有する。通報履歴テーブル117は、ユーザ毎の検体メールの提供状況を示す。通報履歴テーブル117は、ユーザID、通報メール数および不審メール数の項目を有する。
FIG. 6 is a diagram illustrating an example of a report history table.
The report
ユーザIDの項目には、組織に属するユーザに割り当てられた識別子が登録される。通報メール数の項目には、あるユーザが管理サーバ100に対して提供した検体メールの数が登録される。不審メール数の項目には、あるユーザが提供した検体メールのうち、標的型メール攻撃の可能性が高い不審メールと判断された数が登録される。不審メール数を通報メール数で割った割合は、ユーザの通報が正しかった割合を表している。
An identifier assigned to a user belonging to an organization is registered in the user ID item. In the item of the number of notification emails, the number of sample emails provided to a
ここで、影響度および確度を算出する方法の例を説明する。
影響度は、例えば、次のように算出することができる。影響度=α1×Webアクセス値+α2×送信メール値+α3×受信メール値+α4×コンテンツ値。ここでα1,α2,α3,α4は重みを表すパラメータである。
Here, an example of a method for calculating the influence degree and the accuracy will be described.
The influence degree can be calculated as follows, for example. Influence = α1 × Web access value + α2 × transmitted mail value + α3 × received mail value + α4 × content value. Here, α1, α2, α3, and α4 are parameters representing weights.
Webアクセス値は、制限対象ドメインをアクセス先とする直近所定期間(例えば、1ヶ月間)のアクセス履歴から算出される。まず、アクセス回数×平均閲覧時間×平均閲覧ページ数が算出される。アクセス回数は、Webログテーブル114に記録されたレコードのうち制限対象ドメインを宛先ドメインに含むレコードの数である。平均閲覧時間は、該当するレコードに含まれる閲覧時間の平均である。平均閲覧ページ数は、該当するレコードに含まれる閲覧ページ数の平均である。そして、この値がWebアクセス閾値Th1より大きい場合にWebアクセス値=1と算出され、この値がWebアクセス閾値Th1以下である場合にWebアクセス値=0と算出される。 The Web access value is calculated from the access history for the most recent predetermined period (for example, one month) with the restricted domain as the access destination. First, the number of access times × average browsing time × average number of browsing pages is calculated. The access count is the number of records that include the restriction target domain in the destination domain among the records recorded in the Web log table 114. The average browsing time is an average of browsing times included in the corresponding record. The average number of browsing pages is the average number of browsing pages included in the corresponding record. When this value is larger than the web access threshold Th1, the web access value = 1 is calculated, and when this value is equal to or smaller than the web access threshold Th1, the web access value = 0 is calculated.
ただし、制限対象ドメインを宛先ドメインに含み、かつ、アクセス後行動が「ダウンロード」、「リンク」または「参照」であるレコードが存在する場合、上記のWebアクセス値に所定値が加算される。アクセス後行動が「ダウンロード」であるレコードが存在する場合、β1がWebアクセス値に加算される。アクセス後行動が「リンク」であるレコードが存在する場合、β2がWebアクセス値に加算される。アクセス後行動が「参照」であるレコードが存在する場合、β3がWebアクセス値に加算される。通常、「ダウンロード」は「リンク」より業務上の重要性が高いため、β1はβ2以上である。また、「リンク」は「参照」より業務上の重要性が高いため、β2はβ3以上である。 However, if there is a record that includes the restriction target domain in the destination domain and the post-access action is “download”, “link”, or “reference”, a predetermined value is added to the Web access value. When there is a record whose post-access action is “download”, β1 is added to the Web access value. If there is a record whose post-access action is “link”, β2 is added to the Web access value. If there is a record whose post-access action is “reference”, β3 is added to the Web access value. Normally, “download” has higher business importance than “link”, and therefore β1 is β2 or more. In addition, since “link” has higher business importance than “reference”, β2 is β3 or more.
送信メール値は、制限対象ドメインを宛先アドレスに含む直近所定期間(例えば、1ヶ月間)の電子メールの送信履歴から算出される。まず、制限対象ドメインを宛先ドメインに含む電子メールの送信回数が算出される。そして、この送信回数が送信メール閾値Th2より大きい場合に送信メール値=1と算出され、この送信回数が送信メール閾値Th2以下である場合に送信メール値=0と算出される。 The transmission mail value is calculated from the transmission history of the electronic mail in the latest predetermined period (for example, one month) including the restriction target domain in the destination address. First, the number of e-mail transmissions including the restriction target domain in the destination domain is calculated. When the number of transmissions is larger than the transmission mail threshold Th2, the transmission mail value = 1 is calculated. When the number of transmissions is equal to or less than the transmission mail threshold Th2, the transmission mail value = 0 is calculated.
受信メール値は、制限対象ドメインを送信元アドレスに含む直近所定期間(例えば、1ヶ月間)の電子メールの受信履歴から算出される。まず、制限対象ドメインを送信元ドメインに含む電子メールの受信回数が算出される。そして、この受信回数が受信メール閾値Th3より大きい場合に受信メール値=1と算出され、この受信回数が受信メール閾値Th3以下である場合に受信メール値=0と算出される。 The received mail value is calculated from the reception history of e-mails in the latest predetermined period (for example, one month) including the restriction target domain in the transmission source address. First, the number of times of receiving an e-mail including the restriction target domain in the transmission source domain is calculated. When the number of receptions is greater than the received mail threshold Th3, the received mail value = 1 is calculated, and when the number of receptions is equal to or less than the received mail threshold Th3, the received mail value = 0 is calculated.
コンテンツ値は、直近所定期間(例えば、1ヶ月間)の電子メールの受信履歴から算出される。まず、不審メールから本文のテキスト(タイトルを含んでもよい)が抽出され、受信ログテーブル116に記録されたテキストそれぞれとの間で類似度が算出される。テキスト同士の類似度を算出する方法として、n−gram距離やレーベンシュタイン距離(編集距離)などを用いることができる。類似度が所定の閾値より高い(距離が閾値より小さい)受信メールが特定され、該当する受信メールの数が算出される。そして、この受信メール数がコンテンツ閾値Th4より大きい場合にコンテンツ値=1と算出され、この受信メール数がコンテンツ閾値Th4以下である場合にコンテンツ値=0と算出される。 The content value is calculated from an e-mail reception history for the most recent predetermined period (for example, one month). First, the text of the body (which may include a title) is extracted from the suspicious mail, and the similarity is calculated between each text recorded in the reception log table 116. As a method for calculating the similarity between texts, an n-gram distance, a Levenshtein distance (edit distance), or the like can be used. A received mail whose similarity is higher than a predetermined threshold (distance is smaller than the threshold) is specified, and the number of corresponding received mails is calculated. When the number of received mails is larger than the content threshold Th4, the content value = 1 is calculated. When the number of received mails is equal to or smaller than the content threshold Th4, the content value = 0 is calculated.
確度は、例えば、次のように算出することができる。確度=α5×チェッカー精度+α6×通報信頼度。ここでα5,α6は重みを表すパラメータである。
チェッカー精度は、受信した電子メールが標的型メール攻撃の電子メールであるか否か判定するときにユーザ端末200,200a,200bが算出した値であり、ポリシーデータに含まれるルールとの適合度を表す。同一または類似の2以上の不審メールが存在する場合、それら2以上の不審メールに対するチェッカー精度の平均が算出される。
The accuracy can be calculated as follows, for example. Accuracy = α5 × checker accuracy + α6 × report reliability. Here, α5 and α6 are parameters representing weights.
The checker accuracy is a value calculated by the
ここで、ポリシーデータに含まれるルールは、標的型メール攻撃を目的とした電子メールが有する様々な特徴を規定している。ルールに規定される特徴の例として、送信元メールサーバのIPアドレス、送信元メールサーバのドメイン、送信時刻、送信時刻のタイムゾーン、送信日の曜日、送信メーラー、タイトルに含まれる文字列、宛先メールアドレスの組み合わせなどが挙げられる。チェッカー精度は、例えば、ルールに規定された複数の特徴のうち受信された電子メールがもつ特徴の割合とする。この場合、ルールに8個の特徴が列挙されており、受信された電子メールがそのうち5個の特徴を有しているとすると、チェッカー精度は62.5%と算出される。チェッカー精度が閾値より大きい電子メールは、警告表示や開封禁止などのフィルタリングの対象となる。ただし、チェッカー精度の算出にあたっては、複数の特徴を重み付けしてもよい。 Here, the rules included in the policy data define various characteristics of the electronic mail intended for the targeted mail attack. Examples of features defined in the rules include the IP address of the sender mail server, the domain of the sender mail server, the sending time, the time zone of the sending time, the day of the sending date, the sending mailer, the character string included in the title, and the destination A combination of email addresses. The checker accuracy is, for example, the ratio of the characteristics of the received email among the plurality of characteristics defined in the rule. In this case, assuming that eight features are listed in the rule and the received e-mail has five features, the checker accuracy is calculated to be 62.5%. An e-mail whose checker accuracy is larger than the threshold is subjected to filtering such as warning display or unopening. However, in calculating the checker accuracy, a plurality of features may be weighted.
通報信頼度は、通報履歴テーブル117に記憶された通報履歴に基づいて算出される。まず、不審メールを提供したユーザのユーザIDが特定され、そのユーザIDに対応する通報メール数および不審メール数が通報履歴テーブル117から検索される。そして、通報メール数に対する不審メール数の割合が通報信頼度となる(通報信頼度=不審メール数/通報メール数)。同一または類似の2以上の不審メールが存在する場合、それら2以上の不審メールに対応する2以上のユーザの通報信頼度が合計される。 The report reliability is calculated based on the report history stored in the report history table 117. First, the user ID of the user who provided the suspicious mail is specified, and the number of report mails and the number of suspicious mails corresponding to the user ID are searched from the report history table 117. Then, the ratio of the number of suspicious emails to the number of notification emails becomes the notification reliability (report reliability = number of suspicious emails / number of notification emails). When two or more suspicious emails that are the same or similar exist, the report reliability of two or more users corresponding to the two or more suspicious emails is added up.
なお、α1,α2,α3,α4の一部を0に設定することで、影響度の算出にWebアクセス値、送信メール値、受信メール値およびコンテンツ値の一部を使用しないようにすることができる。例えば、α4=0とすれば、影響度の算出にテキストの類似度を考慮しないようにすることができる。また、α5,α6の何れか一方を0に設定することで、確度の算出にチェッカー精度と通報信頼度の何れか一方を使用しないようにすることができる。例えば、α5=0とすれば、確度を通報信頼度のみから算出することができ、α6=0とすれば、確度をチェッカー精度のみから算出することができる。 It should be noted that by setting a part of α1, α2, α3, and α4 to 0, it is possible not to use a part of the Web access value, the transmitted mail value, the received mail value, and the content value for calculating the influence degree. it can. For example, if α4 = 0, it is possible not to consider the text similarity in calculating the influence. In addition, by setting either one of α5 and α6 to 0, it is possible to prevent either one of the checker accuracy and the notification reliability from being used for accuracy calculation. For example, if α5 = 0, the accuracy can be calculated only from the notification reliability, and if α6 = 0, the accuracy can be calculated only from the checker accuracy.
図7は、パラメータテーブルの例を示す図である。
設定情報記憶部113は、パラメータテーブル118を記憶する。パラメータテーブル118は、影響度の算出に用いられるパラメータと確度の算出に用いられるパラメータとを記憶する。影響度の算出に用いられるパラメータには、Webアクセス閾値Th1、送信メール閾値Th2、受信メール閾値Th3およびコンテンツ閾値Th4が含まれる。また、影響度の算出に用いられるパラメータには、ダウンロード加算値β1、リンク加算値β2および参照加算値β3が含まれる。また、影響度の算出に用いられるパラメータには、Webアクセス重みα1、送信メール重みα2、受信メール重みα3およびコンテンツ重みα4が含まれる。確度の算出に用いられるパラメータには、チェッカー精度重みα5および通報信頼度重みα6が含まれる。
FIG. 7 is a diagram illustrating an example of a parameter table.
The setting
図8は、ポリシー判定テーブルの例を示す図である。
設定情報記憶部113は、ポリシー判定テーブル119を記憶する。ポリシー判定テーブル119は、影響度および確度とポリシーデータの設定とを対応付ける。ポリシー判定テーブル119は、影響度、確度、配信条件、処理、期間および配信先の項目を有する。
FIG. 8 is a diagram illustrating an example of a policy determination table.
The setting
影響度の項目には、影響度が大きいか小さいかを示すフラグが登録される。上記のような方法で算出した影響度と所定の閾値とが比較され、影響度が閾値より大きい場合に影響度「大」と判定され、影響度が閾値以下である場合に影響度「小」と判定される。確度の項目には、確度が高いか低いかを示すフラグが登録される。上記のような方法で算出した確度と所定の閾値とが比較され、確度が閾値より大きい場合に確度「高」と判定され、確度が閾値以下である場合に確度「小」と判定される。 A flag indicating whether the influence degree is large or small is registered in the influence degree item. The degree of influence calculated by the above method is compared with a predetermined threshold, and when the degree of influence is greater than the threshold, the degree of influence is determined to be “high”, and when the degree of influence is less than or equal to the threshold, the degree of influence is “small”. It is determined. In the accuracy item, a flag indicating whether the accuracy is high or low is registered. The accuracy calculated by the method as described above is compared with a predetermined threshold, and when the accuracy is greater than the threshold, the accuracy is determined as “high”, and when the accuracy is equal to or less than the threshold, the accuracy is determined as “low”.
配信条件の項目には、ポリシーデータを組織内のユーザ端末に配信する条件が登録される。例えば、提供された同一または類似の検体メールの数が一定数以上であることが配信条件とされる。配信条件を満たさない場合(例えば、検体メール数が少ない場合)、検体メールから抽出された制限対象アドレスを用いたポリシーデータは配信されない。 In the item of distribution condition, a condition for distributing policy data to user terminals in the organization is registered. For example, the distribution condition is that the number of identical or similar specimen emails provided is a certain number or more. When the distribution condition is not satisfied (for example, when the number of sample mails is small), the policy data using the restriction target address extracted from the sample mail is not distributed.
処理の項目には、ポリシーデータに抵触する通信の処理方法が登録される。処理方法には「警告」と「禁止」が含まれる。処理方法が「警告」である場合、例えば、ポリシーデータに抵触する電子メールが受信されたときや当該電子メールを開封しようとするときに警告メッセージが表示される。また、例えば、ポリシーデータに抵触するWebサイトへのアクセスが発生したときに警告メッセージが表示される。処理方法が「禁止」である場合、例えば、ポリシーデータに抵触する電子メールが受信されたときに当該電子メールが迷惑メール用フォルダに強制的に隔離されて開封が禁止される。また、例えば、ポリシーデータに抵触するWebサイトへのアクセスが強制的に遮断される。 In the processing item, a communication processing method that conflicts with the policy data is registered. The processing method includes “warning” and “prohibition”. When the processing method is “warning”, for example, a warning message is displayed when an e-mail conflicting with policy data is received or when the e-mail is to be opened. Also, for example, a warning message is displayed when access to a website that violates policy data occurs. When the processing method is “prohibited”, for example, when an e-mail that violates policy data is received, the e-mail is forcibly quarantined in a junk mail folder and opening is prohibited. Also, for example, access to a website that violates policy data is forcibly blocked.
期間の項目には、ポリシーデータが有効である期間が登録される。配信日から当該期間以上経過したポリシーデータは無効となり、当該ポリシーデータに基づくフィルタリングは行われなくなる。配信先の項目には、ポリシーデータを配信する宛先の範囲が登録される。配信先としては、例えば、組織内の全ユーザ端末(全体)、組織内の特定の部署のユーザ端末(部署限定)、検体メールを提供したユーザと業務上の関係が強いユーザのユーザ端末(関係者)などが挙げられる。特定の部署は、組織の外部との通信の必要性に応じて予め管理者が決めておく。例えば、情報システム部はポリシーデータの配信先に含め、外部との通信が多い営業部などは配信先から除外しておく。検体メールを提供したユーザの関係者は、例えば、当該ユーザと同一の部署に属するユーザである。 In the period item, a period during which the policy data is valid is registered. Policy data older than the period from the distribution date is invalid, and filtering based on the policy data is not performed. In the distribution destination field, a destination range to which policy data is distributed is registered. Distribution destinations include, for example, all user terminals in the organization (overall), user terminals in specific departments within the organization (department only), and user terminals of users who have a strong business relationship with the user who provided the sample email (relationship) For example). The specific department is determined in advance by the administrator according to the necessity of communication with the outside of the organization. For example, the information system section is included in the distribution destination of the policy data, and the sales department having a lot of communication with the outside is excluded from the distribution destination. The related person of the user who provided the sample mail is, for example, a user who belongs to the same department as the user.
一例として、影響度が大きく確度が高い場合、配信条件を検体メール2つ以上とし、処理方法を警告とし、有効期間を2週間とし、配信先を部署限定とする。影響度が大きく確度が低い場合、配信条件を検体メール1つ以上とし、処理方法を警告とし、有効期間を1週間とし、配信先を部署限定とする。影響度が小さく確度が高い場合、配信条件を検体メール3つ以上とし、処理方法を禁止とし、有効期間を6ヶ月とし、配信先を全体とする。影響度が小さく確度が低い場合、配信条件を検体メール2つ以上とし、処理方法を禁止とし、有効期間を1ヶ月とし、配信先を関係者とする。 As an example, when the degree of influence is large and the accuracy is high, the distribution condition is set to two or more sample mails, the processing method is set to warning, the effective period is set to two weeks, and the distribution destination is limited to the department. When the degree of influence is large and the accuracy is low, the delivery condition is one or more specimen mails, the processing method is warning, the validity period is one week, and the delivery destination is limited to the department. When the degree of influence is small and the accuracy is high, the delivery condition is set to three or more sample mails, the processing method is prohibited, the validity period is set to 6 months, and the delivery destination is the whole. When the degree of influence is small and the accuracy is low, the distribution condition is set to two or more sample mails, the processing method is prohibited, the validity period is set to one month, and the distribution destination is set to the related party.
影響度が大きい(閾値を超えている)場合、影響度が小さい(閾値以下である)場合よりも有効期間が短いことが好ましい。また、影響度が大きい場合、影響度が小さい場合よりも配信先の範囲が狭いことが好ましい。確度が高い(閾値を超えている)場合、確度が低い(閾値以下である)場合よりも有効期間が長いことが好ましい。また、確度が高い場合、確度が低い場合よりも配信先の範囲が広いことが好ましい。 When the influence degree is large (exceeding the threshold value), the effective period is preferably shorter than when the influence degree is small (below the threshold value). Further, when the influence degree is large, it is preferable that the range of the delivery destination is narrower than when the influence degree is small. When the accuracy is high (exceeding the threshold value), the effective period is preferably longer than when the accuracy is low (below the threshold value). Further, when the accuracy is high, it is preferable that the range of the delivery destination is wider than when the accuracy is low.
図9は、ポリシーデータの例を示す図である。
ポリシー記憶部211は、ポリシーデータ213を記憶する。ポリシーデータ213は、管理サーバ100によって生成されユーザ端末200に配信されたものである。ポリシーデータ213には、配信時刻、有効期限、ルールおよび処理方法が含まれる。配信時刻は、ポリシーデータ213が配信された時刻である。有効期限は、ポリシーデータ213の有効期間の末尾を示す時刻である。ルールは、フィルタリングする電子メールの特徴またはフィルタリングするWebアクセスの特徴を示すブラックリストである。ルールには、電子メールの特徴として送信元ドメインが含まれることがある。また、ルールには、Webアクセスの特徴として宛先ドメインが含まれることがある。処理方法は、ルールに適合する電子メールまたはWebアクセスのフィルタリング方法である。
FIG. 9 is a diagram illustrating an example of policy data.
The
次に、管理サーバ100の処理手順の例を説明する。
図10は、ポリシー生成の手順例を示すフローチャートである。
(S10)不審メール抽出部122は、ユーザ端末200,200a,200bから収集した検体メールの中から、標的型メール攻撃である可能性が高く互いの内容が同一または類似している不審メール群を抽出する。不審メール抽出部122は、例えば、管理者端末200cからの指示に応じて不審メール群を選択する。ただし、不審メール抽出部122は、所定の判定ルールに基づいて、各検体メールについて標的型メール攻撃である可能性を自動的に判定してもよい。また、不審メール抽出部122は、不審メール間でテキストを比較することで内容の同一性を自動的に判定してもよい。
Next, an example of a processing procedure of the
FIG. 10 is a flowchart illustrating an example of a policy generation procedure.
(S10) The suspicious
(S11)不審メール抽出部122は、通報履歴記憶部112に記憶された通報履歴テーブル117を更新する。すなわち、不審メール抽出部122は、検体メールそれぞれについて当該検体メールを提供したユーザに対応する通報メール数を1つ加算する。また、不審メール抽出部122は、検体メールの中から抽出した不審メールそれぞれについて当該不審メールを提供したユーザに対応する不審メール数を1つ加算する。
(S11) The suspicious
(S12)ポリシー生成部123は、ステップS10で抽出された不審メール群から、それら不審メール群に共通に含まれている組織外のドメインを制限対象ドメインとして抽出する。制限対象ドメインは、例えば、不審メールのヘッダ部に記載された送信元メールアドレスまたは送信元メールサーバアドレスに含まれる。また、制限対象ドメインは、例えば、不審メールの本文(ボディ部)に記載されたURLに含まれる。
(S12) The
(S13)ポリシー生成部123は、ステップS12で抽出した制限対象ドメインに関する直近の所定期間内の行動ログを行動ログ記憶部111から検索する。ポリシー生成部123は、Webログテーブル114から、制限対象ドメインを宛先ドメインとするWebログを検索する。また、ポリシー生成部123は、送信ログテーブル115から、制限対象ドメインを宛先ドメインとする送信ログを検索する。また、ポリシー生成部123は、受信ログテーブル116から、制限対象ドメインを送信元ドメインとする受信ログを検索する。また、ポリシー生成部123は、不審メールから本文のテキストを抽出し、受信ログテーブル116からテキストが類似する受信ログを検索する。
(S13) The
(S14)ポリシー生成部123は、ステップS13で検索した行動ログを用いて影響度を算出する。ポリシー生成部123は、検索されたWebログの数(レコード数)と閲覧時間の平均と閲覧ページ数の平均からWebアクセス値を算出する。このとき、ポリシー生成部123は、アクセス後行動に応じてダウンロード加算値、リンク加算値または参照加算値をWebアクセス値に加える。また、ポリシー生成部123は、検索された送信ログの数(レコード数)から送信メール値を算出する。また、ポリシー生成部123は、検索された受信ログの数(レコード数)から受信メール値およびコンテンツ値を算出する。ポリシー生成部123は、Webアクセス値と送信メール値と受信メール値とコンテンツ値の重み付き和によって影響度を算出する。
(S14) The
(S15)ポリシー生成部123は、通報履歴記憶部112に記憶された通報履歴テーブル117から、検体メールを提供したユーザに対応する通報履歴を検索する。通報履歴は、通報メール数と不審メール数とを含む。ステップS10で2以上の不審メールが抽出された場合、ポリシー生成部123は、2以上のユーザそれぞれの通報履歴を検索する。
(S15) The
(S16)ポリシー生成部123は、ステップS15で検索した通報履歴に基づいて通報信頼度を算出する。通報信頼度は、通報メール数に対する不審メール数の割合とする。ステップS10で2以上の不審メールが抽出された場合、2以上のユーザの通報信頼度が合計される。また、ポリシー生成部123は、不審メールと合わせて提供されたチェッカー精度を取得する。ステップS10で2以上の不審メールが抽出された場合、2以上の不審メールに対するチェッカー精度の平均が算出される。そして、ポリシー生成部123は、チェッカー精度と通報信頼度の重み付き和によって確度を算出する。
(S16) The
(S17)ポリシー生成部123は、設定情報記憶部113に記憶されたポリシー判定テーブル119を参照して、ステップS14,S16で算出した影響度と確度の組から、配信条件、処理方法、有効期間および配信先を決定する。
(S17) The
(S18)ポリシー生成部123は、ステップS10で抽出された不審メールの数が、ステップS17で決定した配信条件を満たすか判断する。配信条件を満たす場合はステップS19に処理が進み、配信条件を満たさない場合は処理が終了する。
(S18) The
(S19)ポリシー生成部123は、ステップS10で抽出された不審メール群に基づいて、不審メール群に共通の特徴を示すルールを生成する。ルールには、ステップS12で抽出された制限対象ドメインが含まれ得る。そして、ポリシー生成部123は、生成したルール、ステップS17で決定した処理方法、および、ステップS17で決定した有効期間に応じた有効期限を含むポリシーデータを生成する。
(S19) The
(S20)ポリシー配信部124は、ステップS19で生成したポリシーデータを、ステップS17で決定した配信先に対して配信する。
なお、上記では管理サーバ100が影響度および確度を算出したが、検体メールの提供時にユーザ端末200,200a,200bが影響度および確度の少なくとも一方を算出するようにしてもよい。例えば、ユーザ端末200が、検体メールを提供するとき、ユーザ端末200に記憶された行動ログに基づいて影響度を算出することが考えられる。また、行動ログを複数の時間帯に分類して時間帯毎の影響度を算出するようにしてもよい。その場合、時間帯によって処理方法や有効期間を変えることができる。また、行動ログを複数の部署に分類して部署毎の影響度を算出するようにしてもよい。その場合、部署によって処理方法や有効期間を変えることができる。
(S20) The
In the above description, the
第2の実施の形態の情報処理システムによれば、検体メールに記載された通信相手ドメインを制限対象ドメインとする場合、制限対象ドメインに関する通信履歴から影響度が算出される。また、メールチェッカーにより算出されたチェッカー精度やユーザの通報履歴から確度が算出される。そして、影響度と確度の組に応じて、ポリシーデータの有効期間や配信先範囲が調整される。例えば、影響度が大きいほど有効期間や配信先範囲が限定され、影響度が小さいほど有効期間や配信先範囲が拡大する。また、例えば、確度が高いほど有効期間や配信先範囲が拡大し、確度が低いほど有効期間や配信先範囲が限定される。 According to the information processing system of the second embodiment, when the communication partner domain described in the sample mail is a restriction target domain, the influence degree is calculated from the communication history related to the restriction target domain. Further, the accuracy is calculated from the checker accuracy calculated by the mail checker and the user's report history. Then, the effective period of policy data and the distribution destination range are adjusted according to the set of influence and accuracy. For example, the effective period and the distribution destination range are limited as the influence degree is large, and the effective period and the distribution destination range are expanded as the influence degree is small. For example, the validity period and the distribution destination range are expanded as the accuracy is high, and the validity period and the distribution destination range are limited as the accuracy is low.
これにより、ポリシーデータを追加することによる過剰防衛を抑制し、正当な業務が阻害されるという影響を低減することができる。例えば、ユーザが正当な電子メールを誤って検体メールとして提供した場合であっても、業務への影響を限定することができる。また、攻撃者が使用するアドレスと類似するアドレスが正当な業務において使用されている場合であっても、業務への影響を限定することができる。また、検体メールが標的型メール攻撃を目的とする電子メールである場合には、同一または類似の検体メールが引き続き提供される可能性が高く、ポリシーデータの継続的な更新によって標的型メール攻撃に対するセキュリティを確保することができると期待される。 Thereby, the excessive defense by adding policy data can be suppressed, and the influence that a legitimate business is inhibited can be reduced. For example, even if a user erroneously provides a valid e-mail as a sample e-mail, the influence on work can be limited. Further, even when an address similar to the address used by the attacker is used in a legitimate business, the influence on the business can be limited. In addition, if the sample email is an email for the purpose of targeted email attack, it is highly likely that the same or similar sample email will continue to be provided. It is expected that security can be secured.
10 ポリシー設定装置
11 記憶部
12 処理部
13 検体電子メール
13a 通信相手アドレス
14 通信履歴
15 セキュリティポリシー
15a ルール
15b 有効期間
15c 適用対象機器
DESCRIPTION OF
Claims (5)
前記検体電子メールの中から通信を制限する対象とする通信相手アドレスを抽出し、前記通信履歴を参照して前記通信相手アドレスを用いた通信の頻度を示す頻度指標値を算出し、前記通信相手アドレスを用いた通信を制限するルールを含み、前記頻度指標値が示す頻度が大きいほど有効期間が短くなるかまたは適用対象機器が少なくなるように設定したセキュリティポリシーを生成する処理部と、
を有するポリシー設定装置。 A storage unit that stores one or more sample e-mails of e-mails addressed to the user and a communication history indicating communication of the user or other users performed in the past;
Extracting a communication partner address to be subject to communication restriction from the sample e-mail, calculating a frequency index value indicating a frequency of communication using the communication partner address with reference to the communication history, and Including a rule that restricts communication using an address, and a processing unit that generates a security policy that is set such that the effective period is shortened or the target device is reduced as the frequency indicated by the frequency index value increases,
Policy setting device.
請求項1記載のポリシー設定装置。 In the calculation of the frequency index value, the processing unit transmits an email transmission frequency including the communication partner address as a destination address, an email reception frequency including the communication partner address as a transmission source address, and the communication partner address. Calculating the frequency index value based on at least one of website access frequencies including
The policy setting device according to claim 1.
前記処理部は更に、前記検体履歴を参照して、提供された前記検体電子メールの信頼度を示す信頼度指標値を算出し、
前記セキュリティポリシーの生成では、前記処理部は、前記信頼度指標値が示す信頼度が高いほど有効期間が長くなるかまたは前記信頼度指標値が示す信頼度が高いほど適用対象機器が多くなるように前記セキュリティポリシーを設定する、
請求項1記載のポリシー設定装置。 The storage unit further stores a sample history indicating the number of sample emails and the number of sample emails addressed to the user used to generate a security policy,
The processing unit further calculates a reliability index value indicating the reliability of the provided sample email with reference to the sample history,
In the generation of the security policy, the processing unit is configured such that the higher the reliability indicated by the reliability index value is, the longer the effective period is, or the higher the reliability indicated by the reliability index value is, the more devices are applied. Set the security policy to
The policy setting device according to claim 1.
ユーザ宛ての電子メールのうちの1以上の検体電子メールの中から、通信を制限する対象とする通信相手アドレスを抽出し、
過去に行われた前記ユーザまたは他のユーザの通信を示す通信履歴を参照して、前記通信相手アドレスを用いた通信の頻度を示す頻度指標値を算出し、
前記通信相手アドレスを用いた通信を制限するルールを含み、前記頻度指標値が示す頻度が大きいほど有効期間が短くなるか、または、適用対象機器が少なくなるように設定したセキュリティポリシーを生成する、
ポリシー設定方法。 A policy setting method executed by a computer,
From among one or more sample e-mails among e-mails addressed to the user, a communication partner address for which communication is restricted is extracted,
With reference to a communication history indicating communication of the user or other users performed in the past, a frequency index value indicating the frequency of communication using the communication partner address is calculated,
Including a rule for restricting communication using the communication partner address, and generating a security policy that is set so that the effective period is shortened as the frequency indicated by the frequency index value is large, or the target device is reduced.
Policy setting method.
ユーザ宛ての電子メールのうちの1以上の検体電子メールの中から、通信を制限する対象とする通信相手アドレスを抽出し、
過去に行われた前記ユーザまたは他のユーザの通信を示す通信履歴を参照して、前記通信相手アドレスを用いた通信の頻度を示す頻度指標値を算出し、
前記通信相手アドレスを用いた通信を制限するルールを含み、前記頻度指標値が示す頻度が大きいほど有効期間が短くなるか、または、適用対象機器が少なくなるように設定したセキュリティポリシーを生成する、
処理を実行させるポリシー設定プログラム。 On the computer,
From among one or more sample e-mails among e-mails addressed to the user, a communication partner address for which communication is restricted is extracted,
With reference to a communication history indicating communication of the user or other users performed in the past, a frequency index value indicating the frequency of communication using the communication partner address is calculated,
Including a rule for restricting communication using the communication partner address, and generating a security policy that is set so that the effective period is shortened as the frequency indicated by the frequency index value is large, or the target device is reduced.
Policy setting program that executes processing.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017024173A JP6761181B2 (en) | 2017-02-13 | 2017-02-13 | Policy setting device, policy setting method and policy setting program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017024173A JP6761181B2 (en) | 2017-02-13 | 2017-02-13 | Policy setting device, policy setting method and policy setting program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018132823A true JP2018132823A (en) | 2018-08-23 |
JP6761181B2 JP6761181B2 (en) | 2020-09-23 |
Family
ID=63248756
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017024173A Active JP6761181B2 (en) | 2017-02-13 | 2017-02-13 | Policy setting device, policy setting method and policy setting program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6761181B2 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6485584B1 (en) * | 2018-08-23 | 2019-03-20 | 株式会社ナカヨ | Suspicious email detection method, suspicious email detection system, suspicious email detection device, and computer-readable program |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007272607A (en) * | 2006-03-31 | 2007-10-18 | Mitsubishi Electric Information Systems Corp | Mail filtering system and mail filtering program |
JP2009015585A (en) * | 2007-07-04 | 2009-01-22 | Mitsubishi Electric Corp | Management device, network system, program, and management method |
US20110055923A1 (en) * | 2009-09-02 | 2011-03-03 | Thomas Ross G | Hierarchical statistical model of internet reputation |
JP2014064235A (en) * | 2012-09-24 | 2014-04-10 | Mitsubishi Space Software Co Ltd | Spoofing mail detector and cyber attack detection system and computer program and spoofing mail detection method |
JP2016532381A (en) * | 2013-08-14 | 2016-10-13 | ダニエル チエン | Evaluation of suspicious network communication |
-
2017
- 2017-02-13 JP JP2017024173A patent/JP6761181B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007272607A (en) * | 2006-03-31 | 2007-10-18 | Mitsubishi Electric Information Systems Corp | Mail filtering system and mail filtering program |
JP2009015585A (en) * | 2007-07-04 | 2009-01-22 | Mitsubishi Electric Corp | Management device, network system, program, and management method |
US20110055923A1 (en) * | 2009-09-02 | 2011-03-03 | Thomas Ross G | Hierarchical statistical model of internet reputation |
JP2014064235A (en) * | 2012-09-24 | 2014-04-10 | Mitsubishi Space Software Co Ltd | Spoofing mail detector and cyber attack detection system and computer program and spoofing mail detection method |
JP2016532381A (en) * | 2013-08-14 | 2016-10-13 | ダニエル チエン | Evaluation of suspicious network communication |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6485584B1 (en) * | 2018-08-23 | 2019-03-20 | 株式会社ナカヨ | Suspicious email detection method, suspicious email detection system, suspicious email detection device, and computer-readable program |
JP2020030700A (en) * | 2018-08-23 | 2020-02-27 | 株式会社ナカヨ | Method for detecting suspicious mail, suspicious mail detection system, suspicious mail detector, and computer-readable program |
Also Published As
Publication number | Publication date |
---|---|
JP6761181B2 (en) | 2020-09-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9686297B2 (en) | Malicious message detection and processing | |
JP5510937B2 (en) | Simplified transmission of entity reputation scores | |
US9262638B2 (en) | Hygiene based computer security | |
US9003531B2 (en) | Comprehensive password management arrangment facilitating security | |
JP5702470B2 (en) | Method and system for protecting against unknown malicious activity by determining link ratings | |
KR100519842B1 (en) | Virus checking and reporting for computer database search results | |
US20070016951A1 (en) | Systems and methods for identifying sources of malware | |
US20060239430A1 (en) | Systems and methods of providing online protection | |
US20110197281A1 (en) | Systems and methods for malware detection | |
US11960604B2 (en) | Online assets continuous monitoring and protection | |
US8719352B2 (en) | Reputation management for network content classification | |
US20140283078A1 (en) | Scanning and filtering of hosted content | |
WO2014103115A1 (en) | Illicit intrusion sensing device, illicit intrusion sensing method, illicit intrusion sensing program, and recording medium | |
EP3195140B1 (en) | Malicious message detection and processing | |
JP5381542B2 (en) | Unauthorized access detection device, unauthorized access detection program, and unauthorized access detection method | |
JP6761181B2 (en) | Policy setting device, policy setting method and policy setting program | |
JPWO2015097889A1 (en) | Information processing apparatus, information processing method, and program | |
WO2023282148A1 (en) | Information management system, information management method, and information sharing system | |
JP2007156690A (en) | Method for taking countermeasure to fishing fraud, terminal, server and program | |
JP6515621B2 (en) | Mail processing server, mail processing method, and mail processing program | |
US11770388B1 (en) | Network infrastructure detection | |
Tabaku et al. | Protecting web applications from web scraping | |
Marge | THE IMPACT OF ECONOMIC COMPANY DATA THEFT. | |
JP5461645B2 (en) | Web page abnormality detection device, program, and recording medium | |
Brusco | Implementing safe computer practices |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20191112 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20191118 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20191118 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200716 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200804 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200817 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6761181 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |